Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Метод проверки подлинности QR-кода позволяет сотрудникам переднего плана эффективно входить в приложения на общих устройствах. Пользователи могут использовать уникальный QR-код, предоставленный им, и ввести пин-код для входа, устраняя необходимость ввода сложных имен пользователей и паролей. В настоящее время проверка подлинности QR-кода поддерживается только на мобильных устройствах под управлением iOS/iPadOS или Android.
Что такое проверка подлинности QR-кода?
QR-код проверки подлинности — это простой метод проверки подлинности, предназначенный в первую очередь для сотрудников переднего плана. Он состоит из уникального QR-кода и числового ПИН-кода. QR-код служит идентификатором и является уникальным для пользователя. Его можно скачать и распечатать с помощью Центра администрирования Microsoft Entra, My Staff или Microsoft Graph. Для удобства QR-код можно подключить к значку или любому другому носимому элементу.
Администраторы проверки подлинности предоставляют временный ПИН-код пользователям, которые затем изменяют его во время входа. Только пользователь знает ПИН-код. Он привязан только к QR-коду. Его нельзя использовать с другими идентификаторами пользователей, такими как имя пользователя или номер телефона. Проверка подлинности QR-кода — это однофакторный метод, в котором ПИН-код (то, что вы знаете) — это учетные данные.
Преимущества проверки подлинности QR-кода
| Выгода | Описание |
|---|---|
| Упрощение и более быстрый вход | Сотрудникам передней линии не нужно вводить сложные имена пользователей или пароли для входа несколько раз на общих устройствах во время смены. |
| Недорогой | Печать QR-кода стоит меньше, чем аппаратный ключ, что может быть дорогостоящим для организаций с временными фронтальными сотрудниками. |
Свойства ПИН-кода
При создании или сбросе ПИН-кода администратором, ответственным за политику аутентификации, применяются следующие правила.
| Политика | Значения |
|---|---|
| Допустимые символы | Числа (0-9) |
| Недопустимые символы | - Буквы (A-Z, a-z) - Символы (- @ # $ % ^ & * - _ ! + = [ ] { } | \ : ' , . ? / ` ~ " ( ) ; <>) - Символы Юникода — пустое пространство |
| Длина ПИН-кода | 8–20 цифр |
| Сложность ПИН-кода | Принятие мер, чтобы избежать повторений и типичных последовательностей. Проверяются следующие шаблоны: — Не содержат 0123456789 или 9876543210. — Не повторяйте последовательность 2-3 цифр в ПИН-коде, например 121212, или 123123 или 342342. Ошибка недопустимого ПИН-кода отображается, если ПИН-код содержит недопустимые символы или менее минимальной допустимой длины. |
Лучшие практики безопасности для реализации с помощью аутентификации по QR-коду
При включении метода проверки подлинности QR-кода рекомендуется использовать следующие меры, так как это однофакторная проверка подлинности (то, что вы знаете).
- Проверка подлинности QR-кода в основном предназначена для сотрудников передней линии (FLW), а не для информационных работников (IW). Мы рекомендуем фишингозащищенную проверку подлинности или MFA для IW.
- Не включайте проверку подлинности QR-кода для всех пользователей в арендодателе. Включите только для целевых пользователей, которые будут использовать этот метод проверки подлинности, например, создайте группу для внешних работников и включите проверку подлинности QR-кода только для них в политиках методов проверки подлинности Microsoft Entra Authentication.
- Объединение проверки подлинности QR-кода с политиками условного доступа в качестве другого уровня безопасности. Мы рекомендуем такие политики, как совместимые устройства, доступ в пределах сети, предоставление определенных приложений и режим общего устройства.
- Принудительное применение фишингозащищенной проверки подлинности или MFA при доступе пользователей к ресурсам за пределами магазина или рабочей сети.
- Замените QR-коды, которые потеряны или украдены.
- Примените политику условного доступа на основе риска для входа чтобы заблокировать доступ.
Конфигурации QR-кода в политике метода проверки подлинности
Администраторы политики проверки подлинности могут включить QR-код в методах проверки подлинности в Центре администрирования Microsoft Entra. По умолчанию проверка подлинности QR-кода отключена.
В политике метода проверки подлинности для QR-кода можно настроить следующее:
Длина ПИН-кода: 8–20 цифр.
Время существования стандартного QR-кода: 1–395 дней. Значение по умолчанию — 365 дней. Администратор политики проверки подлинности может изменить значение по умолчанию при добавлении стандартного QR-кода для пользователя.
Например, администратор может задать значение 30 дней в политике метода проверки подлинности. Для каждого пользователя в этом клиенте срок действия стандартного QR-кода по умолчанию составляет 30 дней. Администратор может изменить время существования стандартного QR-кода по умолчанию для конкретного пользователя.
На этом снимке экрана длина ПИН-кода имеет значение по умолчанию из восьми цифр. Время существования стандартного QR-кода сокращается до 200 дней.
Функциональные сведения о методе проверки подлинности QR-кода
Когда администратор политики проверки подлинности добавляет метод проверки подлинности QR-кода для пользователя, он создает стандартный QR-код и ПИН-код. Чтобы создать временный QR-код, необходимо изменить метод проверки подлинности QR-кода.
Временный QR-код помогает, когда пользователь забывает принести свой значок с стандартным QR-кодом. Он имеет более короткое время существования, до 12 часов. Если метод проверки подлинности QR-кода удаляется для пользователя, он не может войти с помощью имеющихся QR-кодов и ПИН-кода.
ПИН-код работает как со стандартными, так и временными QR-кодами, так как ПИН-код действителен для метода проверки подлинности QR-кода. Администратор политики проверки подлинности может предоставить пользовательский ПИН-код или создать ПИН-код при создании метода проверки подлинности QR-кода. Они могут скопировать временный ПИН-код только при его создании. Затем ПИН-код маскируется, чтобы предотвратить воздействие.
Состояния удобства использования стандартного QR-кода, временный QR-код и ПИН-код для метода проверки подлинности QR-кода не связаны друг с другом. Например, активный метод проверки подлинности QR-кода может иметь удаленный или просроченный стандартный QR-код и активный временный QR-код. В любой момент времени может быть только один активный СТАНДАРТНЫй QR-код и один активный временный QR-код.
В следующей таблице перечислены примеры сочетаний для состояний стандартного QR-кода, временного QR-кода и ПИН-кода. Для успешной проверки подлинности требуется активный QR-код и активный ПИН-код.
| Стандартный QR-код | Временный QR-код | Метод аутентификации с помощью QR-кода и PIN-кода |
|---|---|---|
| Активный | Не существует | Временный или обновленный пользователем |
| Активный | Активный | Временный или обновленный пользователем |
| Удалено | Не существует | Временный или обновленный пользователем |
| Истек | Активный | Временный или обновленный пользователем |
| Истек | Истек | Временный или обновленный пользователем |
Дополнительную информацию об управлении QR-кодами см. статью "Как включить метод проверки подлинности с использованием QR-кода в идентификаторе Microsoft Entra (предварительная версия)".
Взаимодействие с пользователем при входе с проверкой подлинности QR-кода
Пользователи могут выполнять вход с помощью QR-кода с помощью интерфейса веб-входа или оптимизированного интерфейса входа в приложение.
Опыт входа через мобильный веб-сайт
Для проверки подлинности пользователей можно использовать интерфейс входа в веб-браузер Майкрософт (login.microsoft.com). Пользователи могут нажать Варианты входа >Войти в организацию>Войти с помощью QR-кода.
Интерфейс входа в мобильное приложение
Вы можете оптимизировать вход для приложений с помощью библиотеки проверки подлинности Майкрософт (MSAL), чтобы добавить QR-код в качестве параметра на странице входа. Например, вы можете добавить QR-код для входа так же, как в Teams или в Managed Home Screen (MHS). Затем пользователи могут просканировать QR-код на два щелчка быстрее. Этот оптимизированный интерфейс входа доступен в средствах запуска приложений BlueFletch и Jamf.
Дополнительные сведения об оптимизации интерфейса входа см. в следующих статье:
- Настройка оптимизированной проверки подлинности QR-кода в приложении Android
- Настройка оптимизированной аутентификации QR-кода в iOS приложении
Неподдерживаемые сценарии пользователей в текущем выпуске
- Самостоятельный сброс ПИН-кода для пользователей
- Массовая настройка QR-кода и ПИН-кода
- Сканирование QR-кода по сканерам штрихкодов
- Проверка подлинности QR-кода не работает с классическими приложениями или браузерами
- Пользовательская конечная точка клиента для входа
- Настраиваемые политики защиты ПИН-кода, определяющие пороговое значение блокировки учетной записи, длительность или сложность ПИН-кода